CVE-2026-50639
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
Wersje Metrics::Any::Adapter::SignalFx przed 0.04 dla Perla nie chronią przed wstrzyknięciami metryk. Protokół statsd pozwala na wysyłanie wielu metryk w jednym pakiecie, co stwarza ryzyko.
Ocena ryzyka
Organizacje mogą być narażone na ataki wstrzyknięcia metryk, co może prowadzić do nieautoryzowanego dostępu do danych lub manipulacji nimi.
Rekomendacja
Zaleca się aktualizację do wersji 0.04 lub nowszej Metrics::Any::Adapter::SignalFx, aby zabezpieczyć się przed tymi podatnościami.
Oryginalny opis (angielski, źródło NVD)
Metrics::Any::Adapter::SignalFx versions before 0.04 for Perl does not protect against metric injections. The statsd protocol (and extensions such as dogstatsd) allow mutiple metrics, separated by newlines, to be sent per packet. Metrics::Any::Adapter::SignalFx which extends Metrics::Any::Adapter::Statsd, which has a similar vulnerability. In addition, the _labels function does not check tags labels newlines or statsd control characters. The labels can be used for metric injections.

